ARTDroid使用说明

1. busybox安装
   1.0 BusyBox说明
   Busy是一个集成了部分linux命令和工具的软件。BusyBox开发的目的是可以在android系统上继续使用linux中的命令，如grep,find等。
   1.1 BusyBox下载与安装
   BusyBox下载地址：https://busybox.net/downloads/binaries/
   下载完成之后，将文件重命名为busybox，然后使用push命令，将busybox推到手机，然后使用adb shell进入手机，在busybox文件所在目录运行./busybox --install ./，这个会将busybox安装到当前目录。
   一定要将busybox安装到system/xbin目录下，要不然后续使用时可能会出现问题

将busybox安装到system/xbin目录下
首先要看system当前挂载信息
输入adb shell，然后输入mount可以看到信息，如下图

mount

然后将system修改为可读写

remount

接着将busybox移动到xbin目录，然后运行上述安装命令即可。

1.2 so库编译
1.2.1 在使用时，需要根据自己的需要对arthook_demo.h文件和arthook_demo.c文件进行修改。原始的文件内容如下所示

arthook_demo.h

arthook_demo.c

在 arthook_demo.h文件中，主要需要根据需要修改 MYHOOKCLASS的值，MYHOOKCLASS变量记录的是
1.2.3 使用ndk编译。
打开终端，在 ARTDroid/examples/arthook_demo/jni目录下，运行ndk_build

ARTDroid so库编译

编译完成之后，生成的so库所在的目录是 ARTDroid/examples/arthook_demo/libs文件夹。

2. libarthook思路
   2.1 FindClass
   2.2 GetMethodID
   2.3 获取虚表的偏移地址
   2.4 获取虚表的长度
   2.5 在虚表中寻找MethodID
   2.6 修改找到的方法的指针，指向patch method
3. sh文件分析
   3.1 install.sh
   3.1.1 check_dependencies
   在环境变量PATH中查看是否有SDK路径和NDK路径，有则继续执行，没有则结束并提醒用户将其添加到PATH中。
   3.1.2 check_first_run
   判断是否是第一次运行demo，判断的方法是判断判断是否存在DIR/.first_run.no文件，如果存在，则说明不是第一次运行，如果不存在则是第一次运行，此时创建DIR/.first_run.no，并将IS_FIRST_RUN的值改为true
   3.1.3 compile_all
   进入到DIR目录，然后判断IS_FIRST_RUN是否为true，为true则继续。进入DIR/adbi文件夹，运行clean.sh和build.sh。然后在DIR文件夹下，运行clean.sh和build.sh。
   3.1.4 push_to_device
   使用adb push，将libarthookdemo.so和hijack移动到手机的/data/local/tmp文件夹下。
   3.2 adbi/build.sh
   进入到adbi/hijack/jni目录，运行ndk-build命令生成hijack，然后进入到adbi/instruments/base/jni目录，运行ndk-build命令生成base.a文件，进入到adbi/instruments/example/jni目录，运行ndk-build生成libexample.so文件。
   3.3 DIR/build.sh
   进入到arthook/core/jni目录下，然后在终端运行ndk-build命令，将jni目录编译得到libarthook.so文件，然后进入到examples/arthook_demo/jni目录下，运行ndk-build命令，得到libarthookdemo.so
   3.4 runhijack.sh
   runhijack.sh完成的动作是导入libarthookdemo.so和hijack.bin文件。
   3.4.1 文件首先检查了依赖，主要是确定手机上已经将busybox安装到/system/xbin目录下。
   3.4.2 判断参数，如果参数为空则提示用户，打印help信息。
   3.4.3 如果参数是-t，则打印相关信息，并执行/data/local/tmp/hijack -p pid -l /data/local/tmp/libarthookdemo.so -d -D 2
   3.5 hijack.c
   在3.4中可知，runhijack.sh最终会运行hijack.bin。而这个文件是有hijack.c编译得到的，所以这里继续分析hijack.c文件，以main方法为入口。
4. 使用
   4.0 在使用之前，首先需要关闭SELinux，关闭命令是setenforce 0。
   4.1 运行srcipts/install.sh
   install.sh会调用ndk编译需要的文件。具体的代码分析在第三部分有说明。
   4.2 push文件到手机
   将编译好的文件传到手机，这些文件包括/examples/classes.dex,/adbi/hijack/libs/armeabi/hijack,scripts/device/init.sh,scripts/device/runhijack.sh,examples/arthook_demo/libs/armeabi/libarthookdemo.so.上传完成之后，data/local/tmp目录下的文件应该是这样的
   
   
   
   4.3 修改dex/opt的所有者。
   首先用ps命令查看我们要测试的apk的USER，如下图中，我要测试的apk对应的USER是u0_a54,然后使用chown命令，将dex/opt的所有者改为u0_a54.具体的命令是chown u0_a54:u0_a54 dex/opt
   
   
   
   4.4 运行runhijack.sh文件。
   运行runhijack.sh文件时，会提示用户输入相应的参数，如下图所示。
   
   
   
   可以看到有两种方式，一个是添加-s+包名，另一个是-t+pid。我这里用的是-t+pid。首先确定下opt所属的USER名字，如下图，为u0_a64
   
   
   
   然后用ps命令，可以看到u0_a64对应的pid为1038
   
   
   
   重新运行runhijack.sh文件，添加参数，如下图所示
   
   
   
   接着在app上点击，可以看到已经hook成功。
   
   
   
   对应的日志记录如下
   
   

在运行install.sh文件时，可能会提示缺少一些so文件后者a文件，主要是因为adbi目录下的内容没有被编译，使用ndk-build自己进行编译之后重新运行install.sh即可
PTRACE_GETREGS ptrace(PTRACE_GETREGS,pid,0,data) 读取寄存器的值，pid表示被跟踪的子进程，data为用户变量地址，用于返回读到的数据。这个指令会读取17个基本寄存器的值
PTRACE_ATTACH ptrace(PTRACE_ATTACH,pid) 跟踪指定的pid进程。被跟踪进程将成为当前进程的子进程并进入中止状态